TOTP
定義
TOTP(Time-based One-Time Password)はRFC 6238で定義された認証方式で、サーバーとクライアントが共有するシークレットキーと現在時刻(UNIX時間を30秒区切りで使用)からHMAC-SHA1で6桁の数字を生成します。毎回使い捨ての数字のため盗聴・リプレイ攻撃に強く、Google Authenticator・Authy・Microsoft Authenticator・1Passwordなどのアプリが実装を提供しています。SMS OTPに比べてSIMスワッピングによる傍受リスクがないためより安全ですが、Evilginxのようなリバースプロキシ型フィッシングはTOTPコードをリアルタイムに中継できるため、フィッシング耐性は完全ではありません。登録時のQRコード(シークレット)が漏洩するとTOTPが完全に無効化されるため、シークレットのバックアップは厳重に管理する必要があります。管理者アカウント・クラウド管理コンソールには少なくともTOTPを導入し、可能であればFIDO2/パスキーへの移行が推奨されます。
関連用語
TOTPが登場する記事・比較
よくある質問
TOTPとは?
時刻とシークレットキーを元に30秒ごとに6桁のワンタイムパスワードを生成するアルゴリズム(RFC 6238)。Google AuthenticatorやAuthyなど認証アプリの基盤技術。SMS認証より安全だが、フィッシングによる中間者攻撃には注意が必要。
同じカテゴリの用語(プロトコル・技術)
APIやリソースへアクセスするために提示する短命なトークン。漏えい時は有効期限、権限範囲、失効可否を確認する。…
現在最も広く使われる対称暗号アルゴリズム。128・192・256ビットの鍵長をサポート。ECB・CBC・GCMなど複数の…
API利用者やアプリケーションを識別し、操作権限を与えるための秘密値。漏えい時は失効と再発行が必要になる。…
メール転送やメーリングリストを経由した後でも、元の認証結果を一定程度検証できるようにする仕組み。…
DMARCなどの認証を満たしたメールにブランドロゴを表示し、正当な送信者であることを示しやすくする仕組み。…
どの認証局が自社ドメインのTLS証明書を発行できるかをDNSで指定するレコード。…